«Лаборатория Касперского» обнаружила Dante — вредоносное ПО, используемое правительственными хакерами
Подразделение Great, занимающееся исследованием вредоносного ПО «Лаборатории Касперского», объявило в Таиланде на конференции SAS (своей конференции для аналитиков и отраслевых экспертов) об обнаружении Dante — вредоносной программы, использовавшейся в серии атак на российские издательства, университеты и исследовательские центры. В своей речи, посвященной этому открытию, Борис Ларин, ведущий исследователь безопасности «Лаборатории Касперского», подчеркнул, что эта кампания использовала серьезную уязвимость в Chrome (и многих других браузерах, основанных на том же движке), которая позволяла запустить вредоносное ПО, просто нажав на, казалось бы, безобидную ссылку.
Атакующая кампания была высокопрофессиональной и тщательно структурированной. Ссылки оставались активными всего несколько часов, чтобы избежать обнаружения как средство распространения вредоносного ПО, что позволяет идентифицировать атакующую группу как вероятное государственное учреждение. Но самый интересный аспект отчёта открывается, когда мы рассматриваем то, что происходит после перехода по вредоносной ссылке. Ларин далее отметил, что загружаемое вредоносное ПО было неизвестным, технически сложным и хорошо защищенным от анализа. Однако, несмотря на меры предосторожности, исследователям удалось изучить код и обнаружить, что Dante является близким родственником Remote Control System: вредоносного ПО, разработанного Hacking Team, которое широко использовалось правительствами по всему миру до 2015 года, когда компания пострадала от разрушительной утечки данных в результате кибератаки. Таким образом, Dante, скорее всего, является преемником Remote Control System, разработанного Memento Labs, компанией, которая приобрела Hacking Team в 2019 году и продолжила её дело. По словам владельца Memento Labs, проект предполагал создание нового вредоносного ПО с нуля. В 2023 году, спустя целых четыре года, на закрытой конференции в Эмиратах он объявил о разработке вредоносной программы Dante, но никакой дополнительной информации не было. Следуя этим слабым следам, команда «Лаборатории Касперского» изучила свой архив вредоносных программ и атак и обнаружила много ценной информации. RCS, вредоносная программа, разработанная Hacking Team, использовалась ещё долгое время, как минимум до 2022 года. Однако с тех пор её заменила Dante — совершенно новая вредоносная программа, да, но эксплуатирующая некоторые небольшие фрагменты кода, уже написанные для RCS. «Анализируя код Dante, — говорит Ларин, — мы заметили тот же «почерк» и тот же стиль, использованные в RCS, что является очень явным признаком преемственности в плане людей, создавших новый продукт».
Будем надеяться, что на этот раз контроль за его использованием будет более строгим, чем тот, который вынудил Hacking Team закрыться.
ilsole24ore
